Certifikaty pro ruzne sluzby a vlastni CA

[Michal Dobes]

Pavel Kankovsky napsal(a):
> 
> Mohl byste udělat to, že budete mít kořenovou CA, jejíž privátní klíč bude
> většinou někde v trezoru, která své pravomoce deleguje na podřízenou CA,
> která bude vydávat certifikáty pro koncové subjekty -- a svůj privátní 
> klíč bude mít někde víc po ruce.

Vybudovat si hierarchickou strukturu CA je dobrý postup. Jenom je
to občas kanón na vrabce v případě, že všechny CA bude obsluhovat jedna
osoba pro firmu o pěti lidech, ale i tak to má svá pozitiva pro oddělení
rolí a některé bezpečnostní prvky.
Akorát, pokud jsem postřehl správně, tu tazatel mával i OpenVPN, a to
je zrovna jedna z aplikací, která se nemá s hierarchickou strukturou moc
ráda, nefungují pak korektně CRL, bere se v potaz jen ten koncový, čímž
to dost ztrácí kouzlo. Sice má OpenVPN nějakou dobu už v TODO,
že s tím něco udělají, ale zatím se tak nestalo. :-(

M.